lundi 24 mai 2010

Social Engineering

Cher Client

Suite à un crash, notre Système de gestion de la sécurité de votre profil a du subir certaines modifications allant jusqu’à toucher vos données sensibles, afin de relancer le nouveau système de protection établi, nous vous invitons et conseillerons à visiter cette page et vous authentifier. Apres cette étape, vous n’aurez qu’à cliquer sur le bouton ‘activer’ et un e mail vous avertira de la mise en application de cette nouvelle version à partir de laquelle vous pourrez établir vos propres règles de gestion.

Merci

http://changepasswarord.enterprise.net/admin.restore

Important : n’utilisez ce mail en aucun cas pour envoyer vos mots de passe ou nom d’utilisateur, même en communication directe avec l’un de nos consultants en ligne.

Entreprise.net

----------------------------------

Ce mail envoyé à une personne naïve ou très peu attentive risque d’arriver à son objectif (l’obtention du mot de passe) ; un mail pareil comporte deux types d’attaques : un Social Engineering et une attaque par Phishing. Dans ce post nous allons parler un peu du Social engineering et dans le futur on prendra en compte le phishing ou hameçonnage.

Le social engineering, n’est autre que l’art d’influencer, de manipuler une personne en se basant sur la confiance, sur la peur ou bien entendu la nature de l’être humain à venir en aide, la faire réagir d’une manière qu’elle n’oserait pas en situation normale, tout en visant à recueillir de cette personne des informations sensibles ou un service rendu. Cette technique de piratage dans le domaine IT prend de plus en plus d’importance ces jours-ci vu que les techniques et les méthodes sécuritaires deviennent chaque jours plus performant et ainsi plus difficile à dévier. Au lieu de passer des et des heures à essayer de casser un mot de passe crypté un attaquant peut tout simplement utiliser un mail, un téléphone ou un autre du genre afin de duper le destinataire ou encore la victime au bout du téléphone et retrouver ainsi mot de passe, nom d’utilisateur, localisation et même certaine applications utilisées. L’important à savoir est que le Social engineering ne se limite pas seulement au domaine IT on le retrouve dans presque tout domaine ou l’accès à certaines informations ou ressources est limité ou encore contrôlé par un système de sécurité mis en place.

Le social engineering peut défier toutes vos méthodes et technologies sécuritaires mises en place. Vous pourriez dépenser autant que vous voulez en antivirus, pare-feu et antispyware, chiens de garde , agent de sécurité et même en IDS (intrusion détection système) un simple mail peut ouvrir une brèche dans votre système d’information et donner accès à presque toutes vos ressources (base de données, système de fichiers, disques de sauvegardes, disque-dur réseau etc.…) ou encore un simple nom et la mention d’une quelconque réunion avec le patron tout en prétendant être un certain actionnaire sera nécessaire à un agent de sécurité de vous laisser passer sans même prendre le soin de bien vous fouiller ou d’investiguer plus en profondeur.

Le Social Engineering(SE) dans le domaine IT peut être conduit de deux manières

· Human based (utilisation de téléphone, contact direct, dumpster diving)

· Computer based (mail, IM, etc…)

Dans le Human based SE, l’attaquant, le « Social Engineer » le plus souvent utilise le téléphone pour induire en erreur l’interlocuteur il peut agir soit en douceur ou par la force dans la majorité des cas ils se font passer pour des clients d’une entreprise ayant quelques difficultés. Prenons par exemple un voleur de carte de crédit ayant quelques infos sur le vrai détenteur de la carte ; pour l'utiliser sur des sites, il aura à donner l’adresse valide enregistrée sur la carte alors il peut appeler le service à la clientèle de cette compagnie et récupérer cette adresse tout en prétendant être le vrai détenteur avec quelques informations personnelles de celui-ci.

Pour le computer base SE, le social engineer utilise des outils informatiques tel le service mail ou les services de messagerie instantanée, il peut tout aussi utiliser un réseau social tout comme Facebook, Twitter ou Myspace afin de créer de fausses identités d’où le « Con Artist » et recueillir certaines infos.

Tout ceci pour vous dire que le social engineering représente ces jours-ci l’une des techniques les plus utilisées par les pirates et bien d’autres personnes désirant se procurer un service ou des informations sensibles, et que utilisant le support IT, ces gens arrivent à faire des choses extraordinaire, certains auteurs de logiciels ou spécialistes de la sécurité IT, publient même des applications qui automatisent ce genre d’attaque, et plusieurs sites fournissent des scénarios d’attaque par social engineering. Nous vous recommandons à être vigilants et à réfléchir bien avant de fournir toute information, pour les sociétés et autres entreprises, nous vous conseillerons de bien former vos employés, cadres et directeurs car ils sont les maillons les plus vulnérables de la chaine sécuritaire établie.

Lien utile

http://www.social-engineer.org

2 commentaires:

  1. Un autre comportement qui prête bien au Hameçonnage est l'utilisation des logiciels de messagerie Instantanée dans les cyber café.

    Ex: Bon nombre de gens quitte un poste en oubliant de se déconnecter d'un logiciel IM (Yahoo, MSN, ect.) ou en s'étant connecté avec l'option d' enregistrement du mot de passe.

    Eh bien, le pirate qui trouvera sur ue machine un compte si facilement accessible pourra converser avec les contacts de cet imprudent, en se faisant passer pou lui, et ainsi obtiendra pas mal de renseignements. À noter aussi que la plupart des ces logiciels IM donnent un accès direct à l'adresse de messagerie (email)

    RépondreSupprimer
  2. Malheureusement tu dis vrai Tilou, et en plus des informations que les pirates pourront avoir accès il y'a des logiciels comme Cain qui permettent aussi de récupérer les mots de passe lors d'une session active et ainsi permettront aux pirates d'utiliser ton compte tant qu'ils le voudront.

    RépondreSupprimer